Depuis le lundi 24 août, les transactions de la Bourse néozélandaise, le NZX, sont régulièrement interrompues. Pourquoi ? Allez, je suis sûr que vous avez une petite idée… Et bien oui, attaque informatique en cours…
Ce sont des choses qui arrivent, cependant, ce qui est inquiétant ici c’est que cela fait maintenant trois jours, depuis le 24 août, que la Bourse néozélandaise, le NZX, doit interrompre les échanges d’actions de plusieurs marchés avant ses horaires de clôture. Et pour cause : elle subit des attaques par déni de service, qu’elle peine à contenir dans la durée.
D’après ZDNet c’est un nouveau gang très actif qui se trouve derrière cette attaque. Le site américain attribue à ce groupe plusieurs attaques contre de grandes entreprises financières comme PayPal, Venmo et Moneygram. Pour venir à cette conclusion, il s’appuie sur les recherches d’une équipe d’Akamai, qui a identifié l’organisation de cybercriminels dès le 17 août. Puisqu’il se présente sous un nouveau nom à chaque méfait, les chercheurs ne l’ont pas encore nommé. De son côté, NZX accuse des malfaiteurs étrangers d’être à l’origine de l’attaque.
L’objectif principal des hackers est clairement identifié : ils exigent par email le paiement d’une certaine somme d’argent en Bitcoin pour faire cesser leurs cyberattaques. « Nous allons complètement détruire votre réputation et nous assurer que vos services restent hors ligne jusqu’à ce que vous payiez », menacent-ils leurs victimes.
Le groupe lance des attaques par déni de service (ou DDOS), capables de faire tomber hors ligne différents types de serveurs, de sorte que les services de la victime ne fonctionnent plus, entièrement ou partiellement. Pour y parvenir, les malfaiteurs envoient un flux de requêtes trop important qui va surcharger le réseau de leur cible. Puisqu’ils n’ont pas la capacité d’encaisser un tel flux d’information, les serveurs vont surchauffer et tomber hors ligne par mesure de préservation.
LES HACKERS CHANGENT LEURS ANGLES D’ATTAQUE POUR MAINTENIR LA PRESSION
La méthode de rançonnage des cybercriminels n’est pas nouvelle, même si elle n’est pas aussi populaire que celles des rançongiciels armés de malwares. Mais le groupe se distingue tout de même, puisqu’il attaque l’arrière-boutique de l’organisation et non sa face visible.
Généralement, les attaques DDoS visent les serveurs les plus proches des clients de l’entreprise. Mais dans le cas de NZX, les malfaiteurs visent l’infrastructure de Spark, son hébergeur (un équivalent de OVH, AWS ou Azure). Ils s’en prennent à des serveurs nécessaires au fonctionnement profond du site, comme ceux du backend, qui gèrent le stockage et les interactions avec les bases de données, ou les serveurs DNS, chargés d’aiguiller les communications sur le web.
Une fois arrêtés à cause de la surcharge d’informations, ces serveurs peuvent être assez longs à redémarrer, voire être endommagés, ce qui cause une panne prolongée du service d’échange d’action de NZX. Pire : les attaques contre les serveurs de Spark en charge du marché boursier affectent aussi les autres clients de l’hébergeur, à cause d’effets de bords difficilement évitables.
200 GIGAOCTETS PAR SECONDE
Il faut dire que les malfaiteurs mettent des moyens importants, et développent des attaques sophistiquées : leur flux d’information a atteint un pic de 200 Go par seconde, et dépasse les 60 Go par seconde de moyenne. Cette vitesse n’est que très difficilement soutenable, même pour d’importantes infrastructures.
Et ce n’est pas tout : les cybercriminels essaient de toujours avoir un coup d’avance sur les mesures prises pour contenir leurs opérations, en changeant régulièrement leur cible dans le réseau de leur victime. Ce ping-pong permanent entre leur attaque et la défense de NZX expliquent que les fonctionnalités de NZX sont partiellement accessibles puis de nouveau inaccessibles par intervalle. Certains marchés sont ouverts, d’autres non, selon quelles infrastructures sont visées par le DDoS.
Cette attaque est inquiétante, puisque la place de marché est considérée comme un service essentiel, et bénéficie de protections supplémentaires allouées aux infrastructures critiques.
Allez, courage… !
